Google Play 商店和 Apple App Store 上的 Android 和 iOS 应用程序包含一个恶意软件开发套件（SDK），旨在使用 OCR 偷窃器窃取加密货币钱包恢复短语。该活动被称为 " SparkCat"，其名称（" Spark"）是受感染应用程序中恶意 SDK 组件之一的名称（" Spark"）。

根据 Kaspersky 的说法，仅在 Google Play 上，下载数字就可以公开使用，被感染的应用程序下载了 242,000 次。

Kaspersky 解释说：" 我们发现 Android 和 iOS 应用程序具有恶意的 SDK/ 框架，这些应用程序嵌入了窃取加密货币钱包恢复短语，其中一些可以在 Google Play 和 App Store 上找到。"

从 Google Play 下载了被感染的应用程序超过 242,000 次。这是在 App Store 中找到偷窃器的第一个已知案例。

Spark SDK 窃取用户的加密货币

被感染的 Android 应用程序上的恶意 SDK 利用了称为 " Spark" 的恶意 Java 组件，该组件伪装成分析模块。

它使用 GitLab 上存储的加密配置文件，该文件提供命令和操作更新。在 iOS 平台上，该框架具有不同的名称，例如 " gzip"，" googleappsdk" 或 " stat"。另外，它使用一个称为 " IM_NET_SYS" 的基于锈的网络模块来处理与命令和控制（C2）服务器的通信。

该模块使用 Google ML Kit OCR 从设备上的图像中提取文本，试图找到可用于在攻击者设备上加载加密货币钱包的恢复短语，而无需知道密码。

它（恶意组件）会根据系统的语言加载不同的 OCR 模型，以区分图片中的拉丁语，韩语和日本角色。然后，SDK 沿路径 / API / E / D / U 将有关设备的信息上传到命令服务器，并在响应中接收一个调节恶意软件后续操作的对象。

用于连接到命令和控制服务器的 URL

该恶意软件通过使用不同语言的特定关键字来搜索包含秘密的图像，而这些关键字是每个区域（欧洲，亚洲等）的变化。虽然某些应用程序显示针对区域，但它们在指定地理区域之外工作的可能性也不能排除在外。

受感染的应用程序

据发现，有 18 个受感染的 Android 和 10 个 iOS 应用程序，其中许多应用程序在各自的应用商店中仍然可用。 Android Chatai 应用程序是由卡巴斯基感染的一个应用程序，该应用程序安装了超过 50,000 次。该应用已不再在 Google Play 上可用。

在 Google Play 上下载的 50000 个应用程序

如果用户在设备上安装了这些应用程序中的任何一个，建议立即卸载它们，并使用移动防病毒工具扫描任何残留物。除此之外，用户最好还应考虑重置。